IP dinámica y NAT de puerto para el tráfico ICMP
Resolution
Resumen
La traducción de IP y Puerto dinámico (DIP) está dedicada únicamente al tráfico relacionado con TCP y UDP, y no a otros protocolos IP. La razón es que los protocolos IP puros, como ICMP, no utilizan un encabezado L4 que contenga puertos de origen y de destino. Por otra parte, el protocolo ICMP es ampliamente utilizado en la red como una simple prueba de conectividad (ya sea como PING o como un trazado de un trazado). Un escenario común en las redes empresariales es que la traducción de una sola inmersión se utiliza para todas las LAN para el tráfico de Internet, ya que ese enfoque consume menos espacio de dirección IP. Por lo tanto, el tráfico ICMP también golpeará la misma directiva de DIP NAT.
Detalles
Para traducir el tráfico ICMP, Palo Alto Networks Firewall toma los campos ID y Sequence del encabezado ICMP y los trata igual (internamente) como si fueran puertos. Esto utiliza el campo de identificación como referencia de Puerto fuente y campo de secuencia como referencia de puerto de destino. Cuando la respuesta de eco ICMP llega al cortafuegos, se está traduciendo basándose en los valores encontrados en el campo secuencia e identificador de su encabezado ICMP.
Política de inmersión:
XP-200 {
de confianza;
fuente 192.168.247.0/24;
a Untrust;
interfaz a;
destino;
servicio cualquier/cualquiera/cualquiera;
translate-to ["src: 10.193.16.241 (Dynamic-IP-and-Port) (Pool IDX: 8)" "10.193.16.242 (dinámica-IP-and-Port) (Pool IDX: 8)"];
no terminal;
Un ejemplo de un paquete de solicitud de eco ICMP enviado desde host Machine (tcpdump):
16:10:44.859384 IP (tos 0X0, TTL 64, ID 40874, offset 0, flags [DF], proto ICMP (1), longitud 84)
192.168.247.248 > 8.8.8.8: ICMP ECHO request, ID 22636, SEQ 438, length 64
16:10:44.867042 IP (tos 0X0, TTL 49, ID 0, offset 0, flags [None], proto ICMP (1), longitud 84)
8.8.8.8 > 192.168.247.248: ICMP ECHO Response, ID 22636, SEQ 438, length 64
La sesión se instala en el cortafuegos para este tráfico ICMP:
> Mostrar sesión todos los filtros destino 8.8.8.8 Protocolo 1 fuente 192.168.247.248
------------------------------------------------------------------------------------------------------------------------------------
IDENTIFICADOR de estado del tipo de solicitud de identificación src [Sport]/Zone/Proto (traducido IP [puerto]) Vsys DST [dport]/Zone (traducido IP [puerto])
------------------------------------------------------------------------------------------------------------------------------------
240674 ping flujo activo NS 192.168.247.248 [22636]/Trust/1 (10.193.16.241 (22636)) vsys1 8.8.8.8 [438]/Untrust (8.8.8.8 [438])
La sesión se está traduciendo utilizando campos de identificación y secuencia desde el encabezado ICMP:
> Mostrar Session ID 240674
Sesión 240674
flujo de C2S:
Fuente: 192.168.247.248 [Trust]
DST: 8.8.8.8
Proto: 1
deporte: 22636 dport: 438
Estado: tipo de INIT: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo de s2c:
Fuente: 8.8.8.8 [Untrust]
DST: 10.193.16.241
Proto: 1
deporte: 438 dport: 22636
Estado: tipo de INIT: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Wed May 14 17:13:02 2014
timeout: 6 seg.
total bytes count(c2s): 98
total bytes count(s2c): 98
count(c2s) paquete de layer7: 1
count(s2c) paquete de layer7: 1
vsys: vsys1
aplicación: ping
regla: ANY-ANY
sesión para iniciar sesión final: True
sesión en ager sesión: falso
sesión sincronizado de peer HA: falso
dirección/puerto traducción: fuente + destino
NAT-regla: XP-200 (vsys1)
procesamiento layer7: habilitado
Filtrado de URL habilitada: False
sesión vía cookies syn: falso
sesión terminada en host: falso
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de ingreso: ethernet1/2
interfaz de la salida: ethernet1/3
regla de QoS de sesión: N/A (clase 4)
Tracker Stage Firewall: envejecido
Dado que el identificador ICMP y los números de secuencia son de 16 bits de largo, la limitación en términos de número de traducciones por IP es la misma que para el tráfico TCP/UDP, lo que significa 65535 para Source y 65535 para NAT de destino. Además, la limitación en términos de número de directivas de inmersión NAT aplicadas al tráfico UDP/TCP se aplica también al tráfico ICMP, ya que comparten el mismo espacio de memoria.
Propietario: djoksimovic